[要約] RFC 6150は、MD4ハッシュ関数を歴史的なステータスに移行するためのものであり、MD4のセキュリティ上の脆弱性を認識し、その使用を推奨しないことを目的としています。

Internet Engineering Task Force (IETF)                         S. Turner
Request for Comments: 6150                                          IECA
Obsoletes: 1320                                                  L. Chen
Category: Informational                                             NIST
ISSN: 2070-1721                                               March 2011
        

MD4 to Historic Status

歴史的なステータスへのMD4

Abstract

概要

This document retires RFC 1320, which documents the MD4 algorithm, and discusses the reasons for doing so. This document moves RFC 1320 to Historic status.

このドキュメントは、MD4アルゴリズムを文書化するRFC 1320を廃止し、その理由について説明します。このドキュメントは、RFC 1320を歴史的なステータスに移動します。

Status of This Memo

本文書の位置付け

This document is not an Internet Standards Track specification; it is published for informational purposes.

このドキュメントは、インターネット標準の追跡仕様ではありません。情報目的で公開されています。

This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.

このドキュメントは、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、インターネットエンジニアリングステアリンググループ(IESG)からの出版が承認されています。IESGによって承認されたすべてのドキュメントが、あらゆるレベルのインターネット標準の候補者ではありません。RFC 5741のセクション2を参照してください。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6150.

このドキュメントの現在のステータス、任意のERRATA、およびそのフィードバックを提供する方法に関する情報は、http://www.rfc-editor.org/info/rfc6150で取得できます。

Copyright Notice

著作権表示

Copyright (c) 2011 IETF Trust and the persons identified as the document authors. All rights reserved.

Copyright(c)2011 IETF Trustおよび文書著者として特定された人。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.

このドキュメントは、BCP 78およびIETFドキュメント(http://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、単純化されたBSDライセンスで説明されているように保証なしで提供される簡略化されたBSDライセンステキストを含める必要があります。

1. Introduction
1. はじめに

MD4 [MD4] is a message digest algorithm that takes as input a message of arbitrary length and produces as output a 128-bit "fingerprint" or "message digest" of the input. This document retires [MD4]. Specifically, this document moves RFC 1320 [MD4] to Historic status. The reasons for taking this action are discussed.

MD4 [MD4]は、入力として任意の長さのメッセージを入力し、入力の128ビットの「指紋」または「メッセージダイジェスト」を出力として生成するメッセージダイジェストアルゴリズムです。このドキュメントは引退します[MD4]。具体的には、このドキュメントはRFC 1320 [MD4]を歴史的なステータスに移動します。この行動をとる理由について説明します。

[HASH-Attack] summarizes the use of hashes in many protocols and discusses how attacks against a message digest algorithm's one-way and collision-free properties affect and do not affect Internet protocols. Familiarity with [HASH-Attack] is assumed.

[Hash-Attack]は、多くのプロトコルでのハッシュの使用を要約し、メッセージダイジェストアルゴリズムの一方向および衝突のないプロパティに対する攻撃がどのように影響し、インターネットプロトコルに影響しないかについて説明します。[ハッシュ攻撃]に精通していることが想定されています。

2. Rationale
2. 根拠

MD4 was published in 1992 as an Informational RFC. Since its publication, MD4 has been under attack [denBORBOS1992] [DOBB1995] [DOBB1996] [GLRW2010] [WLDCY2005] [LUER2008]. In fact, RSA, in 1996, suggested that MD4 should not be used [RSA-AdviceOnMD4]. Microsoft also made similar statements [MS-AdviceOnMD4].

MD4は1992年に情報RFCとして公開されました。その出版以来、MD4は攻撃を受けています[denborbos1992] [dobb1995] [dobb1996] [glrw2010] [wldcy2005] [luer2008]。実際、1996年にRSAは、MD4を使用すべきではないことを示唆しました[RSA-ADVICEONMD4]。Microsoftも同様の声明を発表しました[MS-AdviceOnmd4]。

In Section 6, this document discusses attacks against MD4 that indicate use of MD4 is no longer appropriate when collision resistance is required. Section 6 also discusses attacks against MD4's pre-image and second pre-image resistance. Additionally, attacks against MD4 used in message authentication with a shared secret (i.e., HMAC-MD4) are discussed.

セクション6では、このドキュメントでは、衝突抵抗が必要な場合にMD4の使用が適切でないことを示すMD4に対する攻撃について説明します。セクション6では、MD4の前イメージと2回目の障害抵抗に対する攻撃についても説明します。さらに、共有秘密(つまり、HMAC-MD4)を使用してメッセージ認証で使用されるMD4に対する攻撃について説明します。

3. Documents that Reference RFC 1320
3. RFC 1320を参照するドキュメント

Use of MD4 has been specified in the following RFCs:

MD4の使用は、次のRFCで指定されています。

Internet Standard (IS):

インターネット標準(IS):

o [RFC2289] A One-Time Password System.

o [RFC2289] 1回限りのパスワードシステム。

Draft Standard (DS):

ドラフト標準(DS):

o [RFC1629] Guidelines for OSI NSAP Allocation in the Internet.

o [RFC1629]インターネットでのOSI NSAP割り当てのガイドライン。

Proposed Standard (PS):

提案された標準(PS):

o [RFC3961] Encryption and Checksum Specifications for Kerberos 5.

o [RFC3961] Kerberosの暗号化とチェックサム仕様5。

Best Current Practice (BCP):

最高の現在の練習(BCP):

o [RFC4086] Randomness Requirements for Security.

o [RFC4086]セキュリティのランダム性要件。

Informational:

情報:

o [RFC1760] The S/KEY One-Time Password System.

o [RFC1760] S/キーのワンタイムパスワードシステム。

o [RFC1983] Internet Users' Glossary.

o [RFC1983]インターネットユーザーの用語集。

o [RFC2433] Microsoft PPP CHAP Extensions.

o [RFC2433] Microsoft PPP Chap Extensions。

o [RFC2759] Microsoft PPP CHAP Extensions, Version 2.

o [RFC2759] Microsoft PPP Chap Extensions、バージョン2。

o [RFC3174] US Secure Hash Algorithm 1 (SHA1).

o [RFC3174]米国の安全なハッシュアルゴリズム1(SHA1)。

o [RFC4757] The RC4-HMAC Kerberos Encryption Types Used by Microsoft Windows.

o [RFC4757] Microsoft Windowsが使用するRC4-HMAC Kerberos暗号化タイプ。

o [RFC5126] CMS Advanced Electronic Signatures (CAdES).

o [RFC5126] CMS Advanced Electronic Signatures(Cades)。

There are other RFCs that refer to MD2, but they have been either moved to Historic status or obsoleted by a later RFC. References and discussions about these RFCs are omitted. The notable exceptions are:

MD2を参照する他のRFCがありますが、それらは歴史的なステータスに移動するか、後のRFCによって廃止されました。これらのRFCに関する参照と議論は省略されています。注目すべき例外は次のとおりです。

o [RFC2313] PKCS #1: RSA Encryption Version 1.5.

o [RFC2313] PKCS#1:RSA暗号化バージョン1.5。

o [RFC2437] PKCS #1: RSA Cryptography Specifications Version 2.0.

o [RFC2437] PKCS#1:RSA暗号仕様バージョン2.0。

o [RFC3447] Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1.

o [RFC3447]パブリックキー暗号化標準(PKCS)#1:RSA暗号仕様バージョン2.1。

4. Impact of Moving MD4 to Historic
4. MD4を歴史的に移動することの影響

The impact of moving MD4 to Historic is minimal with the one exception of Microsoft's use of MD4 as part of RC4-HMAC in Windows, as described below.

以下で説明するように、MicrosoftがWindowsでRC4-HMACの一部としてMD4を使用したことを除いて、MD4を歴史的に移動することの影響は最小限です。

Regarding DS, PS, and BCP RFCs:

DS、PS、およびBCP RFCについて:

o The initial One-Time Password systems, based on [RFC2289], have ostensibly been replaced by HMAC-based mechanism, as specified in "HOTP: An HMAC-Based One-Time Password Algorithm" [RFC4226]. [RFC4226] suggests following recommendations in [RFC4086] for random input, and in [RFC4086] weaknesses of MD4 are discussed.

o [RFC2289]に基づく最初のワンタイムパスワードシステムは、「HOTP:HMACベースのワンタイムパスワードアルゴリズム」[RFC4226]で指定されているように、表面上はHMACベースのメカニズムに置き換えられました。[RFC4226]は、ランダム入力の[RFC4086]および[RFC4086]では、MD4の弱点について次の推奨事項を提案します。

o MD4 was used in the Inter-Domain Routing Protocol (IDRP); each IDRP message carries a 16-octet hash that is computed by applying the MD-4 algorithm (RFC 1320) to the context of the message itself. Over time, IDRP was replaced by BGP-4 [RFC4271], which required at least [MD5].

o MD4は、ドメイン間ルーティングプロトコル(IDRP)で使用されました。各IDRPメッセージには、MD-4アルゴリズム(RFC 1320)をメッセージ自体のコンテキストに適用することによって計算される16オクテットのハッシュが含まれます。時間が経つにつれて、IDRPはBGP-4 [RFC4271]に置き換えられ、少なくとも[MD5]が必要でした。

o Kerberos Version 5 [RFC3961] specifies the use of MD4 for DES encryption types and checksum types. They were specified, never really used, and are in the process of being deprecated by [DES-DIE]. Further, the mandatory-to-implement encrypted types and checksum types specified by Kerberos are based on AES-256 and HMAC-SHA1 [RFC3962].

o Kerberosバージョン5 [RFC3961]は、暗号化タイプとチェックサムタイプにMD4の使用を指定しています。それらは指定され、実際に使用されることはなく、[des-die]によって非難される過程にあります。さらに、Kerberosによって指定された義務的な暗号化されたタイプとチェックサムタイプは、AES-256およびHMAC-SHA1 [RFC3962]に基づいています。

Regarding Informational RFCs:

情報RFCについて:

o PKCS#1 v1.5 [RFC2313] indicated that there was no reason to not use MD4. PKCS#1 v2.0 [RFC2437] and v2.1 [RFC3447] recommend against MD4 due to cryptoanalytic progress having uncovered weaknesses in the collision resistance of MD4.

o PKCS#1 V1.5 [RFC2313]は、MD4を使用しない理由がないことを示しました。PKCS#1 V2.0 [RFC2437]およびV2.1 [RFC3447]は、MD4の衝突抵抗の弱点が明らかになった暗号分析の進行により、MD4に対して推奨されます。

o Randomness Requirements [RFC4086] does mention MD4, but not in a good way; it explains how the algorithm works and that there have been a number of attacks found against it.

o ランダム性要件[RFC4086]はMD4に言及していますが、良い方法ではありません。アルゴリズムがどのように機能するか、そしてそれに対して多くの攻撃が見つかったことを説明しています。

o The "Internet Users' Glossary" [RFC1983] provided a definition for Message Digest and listed MD4 as one example.

o 「インターネットユーザー用語集」[RFC1983]は、メッセージダイジェストの定義を提供し、MD4を一例としてリストしました。

o The IETF OTP specification [RFC2289] was based on S/KEY technology. So S/KEY was replaced by OTP, at least in theory. Additionally, the S/KEY implementations in the wild have started to use MD5 in lieu of MD4.

o IETF OTP仕様[RFC2289]は、S/KEYテクノロジーに基づいていました。したがって、少なくとも理論的には、S/キーはOTPに置き換えられました。さらに、野生のS/キーの実装は、MD4の代わりにMD5の使用を開始しました。

o The CAdES document [RFC5126] lists MD4 as a hash algorithm, disparages it, and then does not mention it again.

o Cades Document [RFC5126]は、MD4をハッシュアルゴリズムとしてリストし、それを軽parし、それを再び言及しません。

o The SHA-1 document [RFC3174] mentions MD4 in the acknowledgements section.

o SHA-1ドキュメント[RFC3174]は、確認セクションでMD4に言及しています。

o The three RFCs describing Microsoft protocols, [RFC2433], [RFC2759], and [RFC4757], are very widely deployed as MS-CHAP v1, MS-CHAP v2, and RC4-HMAC, respectively.

o Microsoftプロトコル[RFC2433]、[RFC2759]、および[RFC4757]を記述する3つのRFCは、それぞれMS-Chap V1、MS-Chap V2、およびRC4-HMACとして非常に広く展開されています。

o MS-CHAP Version 1 is supported in Microsoft's Windows XP, 2000, 98, 95, NT 4.0, NT 3.51, and NT 3.5, but support has been dropped in Vista. MS-CHAP Version 2 is supported in Microsoft's Windows 7, Vista, XP, 2000, 98, 95, and NT 4.0. Both versions of MS-CHAP are also supported by RADIUS [RFC2548] and the Extensible Authentication Protocol (EAP) [RFC5281]. In 2007, [RFC4962] listed MS-CHAP v1 and v2 as flawed and recommended against their use; these incidents were presented as a strong indication for the necessity of built-in crypto-algorithm agility in Authentication, Authorization, and Accounting (AAA) protocols.

o MS-Chapバージョン1は、MicrosoftのWindows XP、2000、98、95、NT 4.0、NT 3.51、およびNT 3.5でサポートされていますが、Vistaではサポートが削除されています。MS-Chapバージョン2は、MicrosoftのWindows 7、Vista、XP、2000、98、95、およびNT 4.0でサポートされています。MS-Chapの両方のバージョンは、RADIUS [RFC2548]と拡張可能な認証プロトコル(EAP)[RFC5281]によってサポートされています。2007年、[RFC4962]は、MS-Chap V1とV2を欠陥があると述べ、それらの使用に対して推奨されました。これらのインシデントは、認証、承認、および会計(AAA)プロトコルにおいて、組み込みの暗号化アルゴリズムの俊敏性の必要性の強力な兆候として提示されました。

o The RC4-HMAC is supported in Microsoft's Windows 2000 and later versions of Windows for backwards compatibility with Windows 2000. As [RFC4757] stated, RC4-HMAC doesn't rely on the collision resistance property of MD4, but uses it to generate a key from a password, which is then used as input to HMAC-MD5. For an attacker to recover the password from RC4-HMAC, the attacker first needs to recover the key that is used with HMAC-MD5. As noted in [RFC6151], key recovery attacks on HMAC-MD5 are not yet practical.

o RC4-HMACは、MicrosoftのWindows 2000以降のバージョンでサポートされています。Windows2000との逆方向の互換性のためのWindowsのバージョン。パスワードから、HMAC-MD5への入力として使用されます。攻撃者がRC4-HMACからパスワードを回復するために、攻撃者は最初にHMAC-MD5で使用されるキーを回復する必要があります。[RFC6151]に記載されているように、HMAC-MD5に対する主要な回復攻撃はまだ実用的ではありません。

5. Other Considerations
5. その他の考慮事項

rsync [RSYNC], a non-IETF protocol, once specified the use of MD4, but as of version 3.0.0 published in 2008, it has adopted MD5 [MD5].

以外のプロトコルであるRsync [Rsync]は、かつてMD4の使用を指定していましたが、2008年に公開されたバージョン3.0.0の時点で、MD5 [MD5]を採用しています。

6. Security Considerations
6. セキュリティに関する考慮事項

This section addresses attacks against MD4's collisions, pre-image, and second pre-image resistance. Additionally, attacks against HMAC-MD4 are discussed.

このセクションでは、MD4の衝突、前イメージ、2回目の障害抵抗に対する攻撃について説明します。さらに、HMAC-MD4に対する攻撃について説明します。

Some may find the guidance for key lengths and algorithm strengths in [SP800-57] and [SP800-131] useful.

[SP800-57]および[SP800-131]の主要な長さとアルゴリズム強度のガイダンスが便利であると思う人もいます。

6.1. Collision Resistance
6.1. 衝突抵抗

A practical attack on MD4 was shown by Dobbertin in 1996 with complexity 2^20 of MD4 hash computations [DOBB1996]. In 2004, a more devastating result presented by Xiaoyun Wang showed that the complexity can be reduced to 2^8 of MD4 hash operations. At the Rump Session of Crypto 2004, Wang said that as a matter of fact, finding a collision of MD4 can be accomplished with a pen on a piece of paper. The formal result was presented at EUROCRYPT 2005 in [WLDCY2005].

MD4に対する実際の攻撃は、1996年にDobbertinによって示され、MD4ハッシュ計算[DOBB1996]の複雑さ2^20が示されました。2004年、Xiaoyun Wangによって提示されたより壊滅的な結果は、MD4ハッシュ操作の2^8に複雑さを減らすことができることを示しました。Crypto 2004のRumpセッションで、Wang氏は、実際のところ、MD4の衝突を見つけることは紙の上のペンで達成できると述べました。正式な結果は、[WLDCY2005]のEuroCrypt 2005で提示されました。

6.2. Pre-Image and Second Pre-Image Resistance
6.2. 前イメージと2番目の前画像抵抗

The first pre-image attack on full MD4 was accomplished in [LUER2008] with complexity 2^100. Some improvements are shown on pre-image attacks and second pre-image attacks of MD4 with certain pre-computations [GLRW2010], where complexity is reduced to 2^78.4 and 2^69.4 for pre-image and second pre-image, respectively. The pre-image attacks on MD4 are practical. It cannot be used as a one-way function. For example, it must not be used to hash a cryptographic key of 80 bits or longer.

完全なMD4に対する最初の前イメージ攻撃は、[LUER2008]で複雑さ2^100で達成されました。特定の事前コンパート化[GLRW2010]を使用して、MD4の2回目のイメージ攻撃と2回目の画像攻撃にいくつかの改善が示されています。ここで、それぞれ1イメージと2回目の前イメージで複雑さが2^78.4および2^69.4に減少します。MD4に対するイメージ前の攻撃は実用的です。一方向関数として使用することはできません。たとえば、80ビット以上の暗号化キーをハッシュするために使用してはなりません。

6.3. HMAC
6.3. hmac

The attacks on Hash-based Message Authentication Code (HMAC) algorithms [RFC2104] presented so far can be classified in three types: distinguishing attacks, existential forgery attacks, and key recovery attacks. Of course, among all these attacks, key recovery attacks are the most severe attacks.

これまでに提示されたハッシュベースのメッセージ認証コード(HMAC)アルゴリズム[RFC2104]に対する攻撃は、攻撃の区別、実存的な偽造攻撃、および主要な回復攻撃の3つのタイプで分類できます。もちろん、これらすべての攻撃の中で、主要な回復攻撃が最も深刻な攻撃です。

The best results on key recovery attacks on HMAC-MD4 were published at EUROCRYPT 2008 with 2^72 queries and 2^77 MD4 computations [WOK2008].

HMAC-MD4の主要な回復攻撃に関する最良の結果は、2^72クエリと2^77 MD4計算[WOK2008]でEuroCrypt 2008で公開されました。

7. Recommendation
7. おすすめ

Despite MD4 seeing some deployment on the Internet, this specification obsoletes [MD4] because MD4 is not a reasonable candidate for further standardization and should be deprecated in favor of one or more existing hash algorithms (e.g., SHA-256 [SHS]).

MD4はインターネット上でいくらかの展開を見ているにもかかわらず、MD4はさらなる標準化の合理的な候補ではなく、1つ以上の既存のハッシュアルゴリズム(SHA-256 [SHS]など)を支持して廃止されるべきであるため、この仕様は廃止されます[MD4]。

RSA Security considers it appropriate to move the MD4 algorithm to Historic status.

RSAセキュリティは、MD4アルゴリズムを歴史的なステータスに移動することが適切であると考えています。

It takes a number of years to deploy crypto and it also takes a number of years to withdraw it. Algorithms need to be withdrawn before a catastrophic break is discovered. MD4 is clearly showing signs of weakness, and implementations should strongly consider removing support and migrating to another hash algorithm.

Cryptoの展開には何年もかかり、それを撤回するには何年もかかります。壊滅的な休憩が発見される前に、アルゴリズムを撤回する必要があります。MD4は明らかに弱さの兆候を示しており、実装はサポートを削除し、別のハッシュアルゴリズムに移行することを強く検討する必要があります。

8. Acknowledgements
8. 謝辞

We'd like to thank RSA for publishing MD4. Obviously, we have to thank all the cryptographers who produced the results we refer to in this document. We'd also like to thank Ran Atkinson, Sue Hares, Sam Hartman, Alfred Hoenes, John Linn, Catherine Meadows, Magnus Nystrom, and Martin Rex for their input.

MD4を公開してくれたRSAに感謝します。明らかに、このドキュメントで言及する結果を作成したすべての暗号作成者に感謝しなければなりません。また、Ran Atkinson、Sue Hares、Sam Hartman、Alfred Hoenes、John Linn、Catherine Meadows、Magnus Nystrom、Martin Rexの意見にも感謝します。

9. Informative References
9. 参考引用

[denBORBOS1992] B. den Boer and A. Bosselaers. An attack on the last two rounds of MD4. In Advances in Cryptology - Crypto '91, pages 194-203, Springer-Verlag, 1992.

[denborbos1992] B.デンボーアとA.ボスレアーズ。MD4の最後の2ラウンドへの攻撃。暗号学の進歩-Crypto '91、ページ194-203、Springer-Verlag、1992。

[DES-DIE] Astrand, L., "Deprecate DES support for Kerberos", Work in Progress, July 2010.

[des-die] Astrand、L。、「KerberosのDes Support」、2010年7月の作業。

[DOBB1995] H. Dobbertin. Alf swindles Ann. CryptoBytes, 1(3): 5, 1995.

[dobb1995] H. dobbertin。AlfはAnnを盗みます。Cryptobytes、1(3):5、1995。

[DOBB1996] H. Dobbertin. Cryptanalysis of MD4. In Proceedings of the 3rd Workshop on Fast Software Encryption, Cambridge, U.K., pages 53-70, Lecture Notes in Computer Science 1039, Springer-Verlag, 1996.

[DOBB1996] H. Dobbertin。MD4の暗号化。英国ケンブリッジの高速ソフトウェア暗号化に関する第3回ワークショップの議事録、53〜70ページ、コンピューターサイエンス1039、Springer-Verlag、1996年の講義ノート。

[GLRW2010] Guo, J., Ling, S., Rechberger, C., and H. Wang, "Advanced Meet-in-the-Middle Preimage Attacks: First Results on Full Tiger, and Improved Results on MD4 and SHA-2", http://eprint.iacr.org/2010/016.pdf.

[GLRW2010] Guo、J.、Ling、S.、Rechberger、C。、およびH. Wang、「高度な中間のプレイイメージ攻撃:完全なTigerでの最初の結果、MD4およびSHA-2の結果が改善されました"、http://eprint.iacr.org/2010/016.pdf。

[HASH-Attack] Hoffman, P. and B. Schneier, "Attacks on Cryptographic Hashes in Internet Protocols", RFC 4270, November 2005.

[ハッシュアタック] Hoffman、P。and B. Schneier、「インターネットプロトコルにおける暗号化ハッシュへの攻撃」、RFC 4270、2005年11月。

[LUER2008] G. Leurent. MD4 is Not One-Way. Fast Software Encryption 2008, Lausanne, Switzerland, February 10-13, 2008, LNCS 5086. Springer, 2008.

[Luer2008] G. Leurent。MD4は一方向ではありません。Fast Software Encryption 2008、Lausanne、スイス、2008年2月10〜13日、LNCS5086。Springer、2008。

[MD4] Rivest, R., "The MD4 Message-Digest Algorithm", RFC 1320, April 1992.

[MD4] Rivest、R。、「MD4 Message-Digest Algorithm」、RFC 1320、1992年4月。

[MD5] Rivest, R., "The MD5 Message-Digest Algorithm", RFC 1321, April 1992.

[MD5] Rivest、R。、「MD5メッセージダイジェストアルゴリズム」、RFC 1321、1992年4月。

[MS-AdviceOnMD4] Howard, M., "Secure Habits: 8 Simple Rules For Developing More Secure Code", http://msdn.microsoft.com/ en-us/magazine/cc163518.aspx#S6.

[MS-AdviceOnmd4] Howard、M。、「安全な習慣:より安全なコードを開発するための8つの簡単なルール」、http://msdn.microsoft.com/ en-us/magazine/cc163518.aspx#s6。

[RFC1629] Colella, R., Callon, R., Gardner, E., and Y. Rekhter, "Guidelines for OSI NSAP Allocation in the Internet", RFC 1629, May 1994.

[RFC1629] Colella、R.、Callon、R.、Gardner、E。、およびY. Rekhter、「インターネットでのOSI NSAP割り当てのガイドライン」、RFC 1629、1994年5月。

[RFC1760] Haller, N., "The S/KEY One-Time Password System", RFC 1760, February 1995.

[RFC1760]ハラー、N。、「S/キーのワンタイムパスワードシステム」、RFC 1760、1995年2月。

[RFC1983] Malkin, G., Ed., "Internet Users' Glossary", FYI 18, RFC 1983, August 1996.

[RFC1983] Malkin、G.、ed。、「Internet Users 'Glossary」、FYI 18、RFC 1983、1996年8月。

[RFC2104] Krawczyk, H., Bellare, M., and R. Canetti, "HMAC: Keyed-Hashing for Message Authentication", RFC 2104, February 1997.

[RFC2104] Krawczyk、H.、Bellare、M。、およびR. CaNetti、「HMAC:メッセージ認証のためのキー付きハッシング」、RFC 2104、1997年2月。

[RFC2289] Haller, N., Metz, C., Nesser, P., and M. Straw, "A One-Time Password System", STD 61, RFC 2289, February 1998.

[RFC2289] Haller、N.、Metz、C.、Nesser、P。、およびM. Straw、「1回限りのパスワードシステム」、STD 61、RFC 2289、1998年2月。

[RFC2313] Kaliski, B., "PKCS #1: RSA Encryption Version 1.5", RFC 2313, March 1998.

[RFC2313] Kaliski、B。、「PKCS#1:RSA暗号化バージョン1.5」、RFC 2313、1998年3月。

[RFC2433] Zorn, G. and S. Cobb, "Microsoft PPP CHAP Extensions", RFC 2433, October 1998.

[RFC2433] Zorn、G。およびS. Cobb、「Microsoft PPP Chap Extensions」、RFC 2433、1998年10月。

[RFC2437] Kaliski, B., and J. Staddon, "PKCS #1: RSA Cryptography Specifications Version 2.0", RFC 2437, October 1998.

[RFC2437] Kaliski、B。、およびJ. Staddon、「PKCS#1:RSA暗号仕様バージョン2.0」、RFC 2437、1998年10月。

[RFC2548] Zorn, G., "Microsoft Vendor-specific RADIUS Attributes", RFC 2548, March 1999.

[RFC2548] Zorn、G。、「Microsoft Vendor固有のRADIUS属性」、RFC 2548、1999年3月。

[RFC2759] Zorn, G., "Microsoft PPP CHAP Extensions, Version 2", RFC 2759, January 2000.

[RFC2759] Zorn、G。、「Microsoft PPP Chap Extensions、バージョン2」、RFC 2759、2000年1月。

[RFC3174] Eastlake 3rd, D. and P. Jones, "US Secure Hash Algorithm 1 (SHA1)", RFC 3174, September 2001.

[RFC3174] EastLake 3rd、D。およびP. Jones、「US Secure Hash Algorithm 1(SHA1)」、RFC 3174、2001年9月。

[RFC3447] Jonsson, J. and B. Kaliski, "Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1", RFC 3447, February 2003.

[RFC3447] Jonsson、J。およびB. Kaliski、「Public-Key Cryptography Standards(PKCS)#1:RSA暗号仕様バージョン2.1」、RFC 3447、2003年2月。

[RFC3961] Raeburn, K., "Encryption and Checksum Specifications for Kerberos 5", RFC 3961, February 2005.

[RFC3961] Raeburn、K。、「Kerberos 5の暗号化とチェックサム仕様」、RFC 3961、2005年2月。

[RFC3962] Raeburn, K., "Advanced Encryption Standard (AES) Encryption for Kerberos 5", RFC 3962, February 2005.

[RFC3962] Raeburn、K。、「Kerberos 5の高度な暗号化標準(AES)暗号化」、RFC 3962、2005年2月。

[RFC4086] Eastlake 3rd, D., Schiller, J., and S. Crocker, "Randomness Requirements for Security", BCP 106, RFC 4086, June 2005.

[RFC4086] EastLake 3rd、D.、Schiller、J。、およびS. Crocker、「セキュリティのランダム性要件」、BCP 106、RFC 4086、2005年6月。

[RFC4226] M'Raihi, D., Bellare, M., Hoornaert, F., Naccache, D., and O. Ranen, "HOTP: An HMAC-Based One-Time Password Algorithm", RFC 4226, December 2005.

[RFC4226] M'Raihi、D.、Bellare、M.、Hoornaert、F.、Naccache、D。、およびO. Ranen、「HOTP:HMACベースのワンタイムパスワードアルゴリズム」、RFC 4226、2005年12月。

[RFC4271] Rekhter, Y., Ed., Li, T., Ed., and S. Hares, Ed., "A Border Gateway Protocol 4 (BGP-4)", RFC 4271, January 2006.

[RFC4271] Rekhter、Y.、Ed。、Li、T.、ed。、およびS. Hares、ed。、「A Border Gateway Protocol 4(BGP-4)」、RFC 4271、2006年1月。

[RFC4757] Jaganathan, K., Zhu, L., and J. Brezak, "The RC4-HMAC Kerberos Encryption Types Used by Microsoft Windows", RFC 4757, December 2006.

[RFC4757] Jaganathan、K.、Zhu、L。、およびJ. Brezak、「Microsoft Windowsが使用するRC4-HMAC Kerberos暗号化タイプ」、RFC 4757、2006年12月。

[RFC4962] Housley, R. and B. Aboba, "Guidance for Authentication, Authorization, and Accounting (AAA) Key Management", BCP 132, RFC 4962, July 2007.

[RFC4962] Housley、R。and B. Aboba、「認証、認可、会計(AAA)主要管理のガイダンス」、BCP 132、RFC 4962、2007年7月。

[RFC5126] Pinkas, D., Pope, N., and J. Ross, "CMS Advanced Electronic Signatures (CAdES)", RFC 5126, March 2008.

[RFC5126] Pinkas、D.、Pope、N。、およびJ. Ross、「CMS Advanced Electronic Signatures(Cades)」、RFC 5126、2008年3月。

[RFC5281] Funk, P. and S. Blake-Wilson, "Extensible Authentication Protocol Tunneled Transport Layer Security Authenticated Protocol Version 0 (EAP-TTLSv0)", RFC 5281, August 2008.

[RFC5281] Funk、P。およびS. Blake-Wilson、「拡張可能な認証プロトコルトンネル輸送層セキュリティ認証プロトコルバージョン0(EAP-TTLSV0)」、RFC 5281、2008年8月。

[RFC6151] Turner, S. and L. Chen, "Updated Security Considerations for the MD5 Message-Digest and the HMAC-MD5 Algorithms", RFC 6151, March 2011.

[RFC6151] Turner、S。およびL. Chen、「MD5 Message-DigestおよびHMAC-MD5アルゴリズムのセキュリティ上の考慮事項を更新しました」、RFC 6151、2011年3月。

[RSA-AdviceOnMD4] Robshaw, M.J.B., "On Recent Results for MD2, MD4 and MD5", November 1996, ftp://ftp.rsasecurity.com/pub/pdfs/bulletn4.pdf.

[RSA-ADVICEONMD4] ROBSHAW、M.J.B。、「MD2、MD4およびMD5の最近の結果」、1996年11月、ftp://ftp.rsasecurity.com/pub/pdfs/bulletn4.pdf。

[RSYNC] rsync web pages, http://www.samba.org/rsync/.

[rsync] rsync webページ、http://www.samba.org/rsync/。

[SHS] National Institute of Standards and Technology (NIST), FIPS Publication 180-3: Secure Hash Standard, October 2008.

[SHS]国立標準技術研究所(NIST)、FIPS Publication 180-3:Secure Hash Standard、2008年10月。

[SP800-57] National Institute of Standards and Technology (NIST), Special Publication 800-57: Recommendation for Key Management - Part 1 (Revised), March 2007.

[SP800-57]国立標準技術研究所(NIST)、特別出版800-57:キー管理の推奨 - パート1(改訂)、2007年3月。

[SP800-131] National Institute of Standards and Technology (NIST), Special Publication 800-131: DRAFT Recommendation for the Transitioning of Cryptographic Algorithms and Key Sizes, June 2010.

[SP800-131]国立標準技術研究所(NIST)、特別出版800-131:2010年6月、暗号化アルゴリズムとキーサイズの移行に関する草案の推奨。

[WLDCY2005] X. Wang, X. Lai, D. Feng, H. Chen, and X. Yu, Cryptanalysis of Hash Functions MD4 and RIPEMD, LNCS 3944, Advances in Cryptology - EUROCRYPT2005, Springer, 2005.

[Wldcy2005] X. Wang、X。Lai、D。Feng、H。Chen、およびX. Yu、Hash機能の暗号分析MD4およびRipemd、LNCS 3944、暗号化の進歩-EuroCrypt2005、Springer、2005。

[WOK2008] L. Wang, K. Ohta, and N. Kunihiro, New Key-recovery Attacks on HMAC/NMAC-MD4 and NMAC-MD5, EUROCRYPT 2008, LNCS 4965, Springer, 2008.

[WOK2008] L. Wang、K。Ohta、およびN. Kunihiro、HMAC/NMAC-MD4およびNMAC-MD5、EuroCrypt 2008、LNCS 4965、Springer、2008での新しいキー回復攻撃。

Authors' Addresses

著者のアドレス

Sean Turner IECA, Inc. 3057 Nutley Street, Suite 106 Fairfax, VA 22031 USA

Sean Turner IECA、Inc。3057 Nutley Street、Suite 106 Fairfax、VA 22031 USA

   EMail: turners@ieca.com
        

Lily Chen National Institute of Standards and Technology 100 Bureau Drive, Mail Stop 8930 Gaithersburg, MD 20899-8930 USA

リリーチェン国立標準技術研究所100ビューロードライブ、メールストップ8930ゲーサーズバーグ、MD 20899-8930 USA

   EMail: lily.chen@nist.gov